深入理解HttpSecurity的设计

简介: 介绍了基于配置文件的使用方式以及实现细节,如下:

@[TOC]

HttpSecurity的应用

在[上文]介绍了基于配置文件的使用方式以及实现细节,如下:

image.png

也就是在配置文件中通过 security:http 等标签来定义了认证需要的相关信息,但是在SpringBoot项目中,我们慢慢脱离了xml配置文件的方式,在SpringSecurity中提供了HttpSecurity等工具类,这里HttpSecurity就等同于在配置文件中定义的http标签。使用方式如下。

image.png

通过代码结果来看和配置文件的效果是一样的。基于配置文件的方式上文已经分析过了,是通过标签对应的handler来解析处理的,那么HttpSecurity这块是如何处理的呢?

HttpSecurity的类图结构

image.png

可以看出HttpSecurity的类图结构相对比较简单,继承了一个父类,实现了两个接口。分别来看看他们的作用是什么。

SecurityBuilder接口

先来看看SecurityBuilder接口,通过字面含义可以发现这是一个帮我们创建对象的工具类。

public interface SecurityBuilder<O> {

    /**
     * Builds the object and returns it or null.
     * @return the Object to be built or null if the implementation allows it.
     * @throws Exception if an error occurred when building the Object
     */
    O build() throws Exception;

}

通过源码可以看到在SecurityBuilder中给我们提供了一个build()方法。在接口名称处声明了一个泛型,而build()方法返回的正好是这个泛型的对象,其实就很好理解了,也就是SecurityBuilder会创建指定类型的对象。结合HttpSecurity中实现SecurityBuilder接口时指定的泛型可以看出创建的具体对象是什么类型。

image.png

可以看出SecurityBuilder会通过build方法给我们创建一个DefaultSecurityFilterChain对象。也就是拦截请求的那个默认的过滤器链对象。

image.png

进入到doBuild()方法,会进入到AbstractConfiguredSecurityBuilder中的方法

    @Override
    protected final O doBuild() throws Exception {
        synchronized (this.configurers) {
            this.buildState = BuildState.INITIALIZING;
            beforeInit();
            init();
            this.buildState = BuildState.CONFIGURING;
            beforeConfigure();
            configure();
            this.buildState = BuildState.BUILDING;
             // 获取构建的对象,上面的方法可以先忽略
            O result = performBuild();
            this.buildState = BuildState.BUILT;
            return result;
        }
    }

进入到HttpSecurity中可以查看performBuild()方法的具体实现。

    @Override
    protected DefaultSecurityFilterChain performBuild() {
        // 对所有的过滤器做排序
        this.filters.sort(OrderComparator.INSTANCE);
        List<Filter> sortedFilters = new ArrayList<>(this.filters.size());
        for (Filter filter : this.filters) {
            sortedFilters.add(((OrderedFilter) filter).filter);
        }
        // 然后生成 DefaultSecurityFilterChain
        return new DefaultSecurityFilterChain(this.requestMatcher, sortedFilters);
    }

在构造方法中绑定了对应的请求匹配器和过滤器集合。

image.png

对应的请求匹配器则是 AnyRequestMatcher 匹配所有的请求。当然我们会比较关心默认的过滤器链中的过滤器是哪来的。

AbstractConfiguredSecurityBuilder

然后再看看AbstractConfiguredSecurityBuilder这个抽象类,他其实是SecurityBuilder的实现,在这儿需要搞清楚他们的关系。

image.png

类型 作用
SecurityBuilder 声明了build方法
AbstractSecurityBuilder 提供了获取对象的方法以及控制一个对象只能build一次
AbstractConfiguredSecurityBuilder 除了提供对对象细粒度的控制外还扩展了对configurer的操作

然后对应的三个实现类。

image.png

首先 AbstractConfiguredSecurityBuilder 中定义了一个枚举类,将整个构建过程分为 5 种状态,也可以理解为构建过程生命周期的五个阶段,如下:

private enum BuildState {

        /**
         * 还没开始构建
         */
        UNBUILT(0),

        /**
         * 构建中
         */
        INITIALIZING(1),

        /**
         * 配置中
         */
        CONFIGURING(2),

        /**
         * 构建中
         */
        BUILDING(3),

        /**
         * 构建完成
         */
        BUILT(4);

        private final int order;

        BuildState(int order) {
            this.order = order;
        }

        public boolean isInitializing() {
            return INITIALIZING.order == this.order;
        }

        /**
         * Determines if the state is CONFIGURING or later
         * @return
         */
        public boolean isConfigured() {
            return this.order >= CONFIGURING.order;
        }

    }

通过这些状态来管理需要构建的对象的不同阶段。

add方法

AbstractConfiguredSecurityBuilder中方法概览

image.png

先来看看add方法。

private <C extends SecurityConfigurer<O, B>> void add(C configurer) {
        Assert.notNull(configurer, "configurer cannot be null");
        Class<? extends SecurityConfigurer<O, B>> clazz = (Class<? extends SecurityConfigurer<O, B>>) configurer
                .getClass();
        synchronized (this.configurers) {
            if (this.buildState.isConfigured()) {
                throw new IllegalStateException("Cannot apply " + configurer + " to already built object");
            }
            List<SecurityConfigurer<O, B>> configs = null;
            if (this.allowConfigurersOfSameType) {
                configs = this.configurers.get(clazz);
            }
            configs = (configs != null) ? configs : new ArrayList<>(1);
            configs.add(configurer);
            this.configurers.put(clazz, configs);
            if (this.buildState.isInitializing()) {
                this.configurersAddedInInitializing.add(configurer);
            }
        }
    }

    /**
     * Gets all the {@link SecurityConfigurer} instances by its class name or an empty
     * List if not found. Note that object hierarchies are not considered.
     * @param clazz the {@link SecurityConfigurer} class to look for
     * @return a list of {@link SecurityConfigurer}s for further customization
     */
    @SuppressWarnings("unchecked")
    public <C extends SecurityConfigurer<O, B>> List<C> getConfigurers(Class<C> clazz) {
        List<C> configs = (List<C>) this.configurers.get(clazz);
        if (configs == null) {
            return new ArrayList<>();
        }
        return new ArrayList<>(configs);
    }

add 方法,这相当于是在收集所有的配置类。将所有的 xxxConfigure 收集起来存储到 configurers中,将来再统一初始化并配置,configurers 本身是一个 LinkedHashMap ,key 是配置类的 class,value 是一个集合,集合里边放着 xxxConfigure 配置类。当需要对这些配置类进行集中配置的时候,会通过 getConfigurers 方法获取配置类,这个获取过程就是把 LinkedHashMap 中的 value 拿出来,放到一个集合中返回。

doBuild方法

然后看看doBuild方法中的代码

     @Override
    protected final O doBuild() throws Exception {
        synchronized (this.configurers) {
            this.buildState = BuildState.INITIALIZING;
            beforeInit(); //是一个预留方法,没有任何实现
            init(); // 就是找到所有的 xxxConfigure,挨个调用其 init 方法进行初始化
            this.buildState = BuildState.CONFIGURING;
            beforeConfigure(); // 是一个预留方法,没有任何实现
            configure(); // 就是找到所有的 xxxConfigure,挨个调用其 configure 方法进行配置。
            this.buildState = BuildState.BUILDING;
            O result = performBuild();
// 是真正的过滤器链构建方法,但是在 AbstractConfiguredSecurityBuilder中 performBuild 方法只是一个抽象方法,具体的实现在 HttpSecurity 中
            this.buildState = BuildState.BUILT;
            return result;
        }
    }

init方法:完成所有相关过滤器的初始化

    private void init() throws Exception {
        Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();
        for (SecurityConfigurer<O, B> configurer : configurers) {
            configurer.init((B) this); // 初始化对应的过滤器
        }
        for (SecurityConfigurer<O, B> configurer : this.configurersAddedInInitializing) {
            configurer.init((B) this);
        }
    }

configure方法:完成HttpSecurity和对应的过滤器的绑定。

    private void configure() throws Exception {
        Collection<SecurityConfigurer<O, B>> configurers = getConfigurers();
        for (SecurityConfigurer<O, B> configurer : configurers) {
            configurer.configure((B) this);
        }
    }

HttpSecurity

HttpSecurity 做的事情,就是进行各种各样的 xxxConfigurer 配置

image.png

HttpSecurity 中有大量类似的方法,过滤器链中的过滤器就是这样一个一个配置的。每个配置方法的结尾都会来一句 getOrApply:

    private <C extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity>> C getOrApply(C configurer)
            throws Exception {
        C existingConfig = (C) getConfigurer(configurer.getClass());
        if (existingConfig != null) {
            return existingConfig;
        }
        return apply(configurer);
    }

getConfigurer 方法是在它的父类 AbstractConfiguredSecurityBuilder 中定义的,目的就是去查看当前这个 xxxConfigurer 是否已经配置过了。如果当前 xxxConfigurer 已经配置过了,则直接返回,否则调用 apply 方法,这个 apply 方法最终会调用到 AbstractConfiguredSecurityBuilder#add 方法,将当前配置 configurer 收集起来

HttpSecurity 中还有一个 addFilter 方法.

    @Override
    public HttpSecurity addFilter(Filter filter) {
        Integer order = this.filterOrders.getOrder(filter.getClass());
        if (order == null) {
            throw new IllegalArgumentException("The Filter class " + filter.getClass().getName()
                    + " does not have a registered order and cannot be added without a specified order. Consider using addFilterBefore or addFilterAfter instead.");
        }
        this.filters.add(new OrderedFilter(filter, order));
        return this;
    }

这个 addFilter 方法的作用,主要是在各个 xxxConfigurer 进行配置的时候,会调用到这个方法,(xxxConfigurer 就是用来配置过滤器的),把 Filter 都添加到 fitlers 变量中。

相关文章
|
存储 安全 Java
冒死潜入某个外包公司获得的珍贵Java基础笔试题(附答案)
冒死潜入某个外包公司获得的珍贵Java基础笔试题(附答案)
503 0
|
安全 算法 Java
5 款阿里常用代码检测工具,免费用!
5 款阿里常用代码检测工具免费体验,仅需 2 步,Cherry键盘、公仔抱回家,100%拿奖!
5 款阿里常用代码检测工具,免费用!
|
Ubuntu
Ubuntu 1604报错cannot create temp file for here-document: No space left on device,拓展sda容量解决之
Ubuntu 1604报错cannot create temp file for here-document: No space left on device,拓展sda容量解决之
571 0
|
11月前
|
人工智能 JavaScript 网络安全
ToB项目身份认证AD集成(三完):利用ldap.js实现与windows AD对接实现用户搜索、认证、密码修改等功能 - 以及针对中文转义问题的补丁方法
本文详细介绍了如何使用 `ldapjs` 库在 Node.js 中实现与 Windows AD 的交互,包括用户搜索、身份验证、密码修改和重置等功能。通过创建 `LdapService` 类,提供了与 AD 服务器通信的完整解决方案,同时解决了中文字段在 LDAP 操作中被转义的问题。
299 1
|
前端开发 JavaScript 数据安全/隐私保护
ajax请求中的reponseType和withCredetials分别是啥?
ajax请求中的reponseType和withCredetials分别是啥?
ajax请求中的reponseType和withCredetials分别是啥?
|
11月前
|
XML JSON 前端开发
C#使用HttpClient四种请求数据格式:json、表单数据、文件上传、xml格式
C#使用HttpClient四种请求数据格式:json、表单数据、文件上传、xml格式
2080 0
|
供应链 监控 数据挖掘
ERP系统中的采购管理与供应商评估
【7月更文挑战第25天】 ERP系统中的采购管理与供应商评估
988 3
|
Java 开发者 Spring
|
Java 数据处理 API
使用Java Lambda表达式高效去重:一种优雅的数据处理实践
使用Java Lambda表达式高效去重:一种优雅的数据处理实践
501 0
|
负载均衡 网络协议 安全
技术浅析:基于云的DNS负载均衡如何实现?
技术浅析:基于云的DNS负载均衡如何实现?
368 6